（一）首部

1．判决书字号：上海市徐汇区人民法院（2011）徐刑初字第287号。

2．案由：非法控制计算机信息系统案。

3．诉讼双方
公诉机关：上海市徐汇区人民检察院，检察员：胡卓英。
被告人：向某，男，1989年2月4日出生于重庆市，汉族，初中文化，无业。2010年9月30日因本案被逮捕。
辩护人：叶竹影，上海市华夏律师事务所律师。

4．审级：一审。

5．审判机关和审判组织
审判机关：上海市徐汇区人民法院。
合议庭组人员：审判长：朱以珍；代理审判员：陆佳；人民陪审员：王婉娜。

6．审结时间：2011年7月21日。

（二）诉辩主张

1．公诉机关指控称
《劲舞团》是上海久游网络科技有限公司（简称久游公司）独家代理运营的一款网络游戏。该游戏的一些玩家以能够进入《劲舞团》游戏主页面左上角第一个房间，即第100号房间为荣。被告人向某为炫耀目的，采用DDOS攻击方式，即分布式拒绝服务攻击，攻击《劲舞团》服务器，致使网络中断，其他玩家掉线，从而自己抢先登录第100号房间，以此获得其他玩家的羡慕、崇拜。
2010年1月至8月，被告人向某通过运行黑客软件非法侵入并远程操控55台他人计算机作为“傀儡机”（网络俗称“肉鸡”），对《劲舞团》服务器发动DDOS攻击，对《劲舞团》服务器的IP地址发送 “icmp”或“syn”数据包，使服务器网络带宽被占用，网络通信被堵塞，导致被攻击的服务器网络中断、玩家掉线，造成久游公司经济受损，玩家满意度下降，品牌价值降低，公司形象受到了影响。经鉴定，2010年1月1日至2010年8月31日，根据久游公司防火墙日志记录，在向某频繁利用该55台“肉鸡”进行攻击的期间内，该55台“肉鸡”的攻击时间共计731小时。久游公司在成都莲花、广东顺德、哈尔滨网通、南汇集群、四川绵阳等地的5个机房服务器受攻击导致瘫痪时间约379余小时，导致久游网直接损失服务器租赁费约13万余元。
被告人向某同时还注册了域名为“潇氏网络”的黑客网站（www.84562.com），在网页上发布“出售傀儡机、DDOS攻击、黑客培训”等信息，公开提供攻击《劲舞团》游戏服务器的收费服务。
公诉机关认为被告人向某违反国家规定，对计算机信息系统实施非法控制，情节严重，其行为已经触犯《中华人民共和国刑法》第二百八十五条第二款之规定，应当以非法控制计算机信息系统罪追究其刑事责任，提请依法审判。

2．被告辩称：
被告人向某对公诉机关指控的犯罪事实和罪名没有异议。
其辩护人的辩护意见为：向某系初犯、偶犯，到案后如实供述自己的罪行，且其犯罪目的只是炫耀自己的计算机技术，主观恶性不大，建议从轻处罚。就损失而言，被告人控制55台“肉鸡”攻击的同时，不能排除其他攻击者也在用相同的手法攻击，所以久游公司受上述55台“肉鸡”攻击的总损失不能全部归罪于被告人向某所为。

（三）事实和证据
上海市徐汇区人民法院经公开审理查明：《劲舞团》是上海久游公司独家代理运营的一款网络游戏，于2008年11月6日获得《互联网出版许可证》，久游公司拥有独占许可使用权。被告人向某在《劲舞团》游戏过程中，为炫耀其游戏技术，以进入《劲舞团》游戏主页面左上角第一个房间即第100号房间为荣，采用分布式拒绝服务攻击即DDOS攻击方式，攻击《劲舞团》服务器，致使网络中断，其他玩家掉线，从而自己抢先登录第100号房间，以此获得其他玩家的羡慕、崇拜。
2010年1月至8月，被告人向某通过运行黑客软件非法侵入并远程操控55台他人计算机作为“傀儡机”（俗称“肉鸡”），对《劲舞团》服务器发动DDOS攻击，即对《劲舞团》服务器IP发送“icmp”或“syn”数据包，使服务器网络带宽被占用，网络通信被堵塞，导致被攻击的服务器网络中断、玩家掉线，造成久游公司经济受损，玩家满意度下降，品牌价值降低，公司形象受到了影响。
另查，被告人向某注册域名为“潇氏网络”的黑客网站（www.84562.com），在网页上发布“出售傀儡机、DDOS攻击、黑客培训”等信息，公开收费攻击《劲舞团》游戏服务器。
上述事实有下列证据证明：
1．被告人向某的供述；
2．证人包某的证言；
3．证人陆某的证言；
4．上海市公安局徐汇分局出具的调取证据清单、扣押物品文件清单、搜查笔录；
5．上海辰星电子数据司法鉴定中心司法鉴定意见书；
6．上海求是会计师事务所出具的司法会计鉴定意见书。

（四）判案理由
上海市徐汇区人民法院经审理认为：被告人向某在攻击目标服务器的过程中，实际是实施了两个犯罪行为：对“傀儡机”的“控制”以及对目标计算机的“破坏”，对应涉及非法控制计算机信息系统罪与破坏计算机信息系统罪两个罪名。因此该案犯罪行为定性的关键在于是否各自都符合犯罪构成要件，成立牵连犯的竞合。对于55台“傀儡机”的控制行为，只是修改、增加了“傀儡机”的功能，并没有影响到“傀儡机”的正常运行，且控制55台的数量达到了“情节严重”的标准，故该行为符合 “非法控制计算机信息系统罪”的犯罪构成要件，成立该罪。对目标计算机的破坏行为，根据“破坏计算机信息系统罪”的犯罪构成要件，必须造成一定的后果，属于结果犯。而如被告人辩称的，55台“傀儡机”中有部分系与他人共享，有部分存在被其他黑客重新控制的可能，而公安机关也无法对向某的电脑硬盘进行数据恢复，用以计算向某对目标计算机造成损害的具体金额，故被告人“破坏”目标计算机信息系统造成的经济损失无法具体衡量，无法满足“破坏计算机信息系统罪”的所有构成要件，无法构成该罪。故两个犯罪行为只有前行为成立“非法控制计算机信息系统罪”，以一罪论处。
合议庭经评议认为，被告人向某违反国家规定，对55台计算机信息系统实施非法控制，情节严重，其行为已构成非法控制计算机信息系统罪，应予处罚。公诉机关指控的犯罪事实清楚，证据确实、充分，指控罪名成立。鉴于被告人向某到案后能如实供述自己的罪行，依法予以从轻处罚。

（五）定案结论
上海市徐汇区人民法院依照《中华人民共和国刑法》第二百八十五条第二款、第六十七条第三款、第五十三条及第六十四条，作出如下判决：
1．向某犯非法控制计算机信息系统罪，判处有期徒刑十一个月，并处罚金人民币2 000元；
2．犯罪工具予以没收。

（六）解说
黑客一直是互联网世界的幽灵，他们掌握着一定的电脑技术，行走于网络的漏洞与后门之间。随着互联网的发展普及，日常生活对电脑网络的依赖程度也日益加深，虽然网络安全工具不断升级，人们的防范意识不断提高，但是“道高一尺，魔高一丈”，黑客行为不仅未能得到有效遏制，反而更加猖獗，社会危害性也更为显著。本案被告人向某采用控制多台“傀儡机”对游戏服务器进行DDOS攻击的方式进行违法犯罪活动。DDOS攻击，学名“分布式拒绝服务攻击”，它是一种分布、协作的大规模攻击方式，利用一批受控制的计算机（俗称“肉鸡”、“傀儡机”）向一台计算机短时间内发送海量的登录请求，发起攻击，使得被攻击的计算机资源被过多占有，来不及对这些海量的请求进行处理，最终造成瘫痪。攻击方式如下图所示：
具体到本案中，行为人向某对《劲舞团》服务器实施DDOS攻击的具体方式为：首先通过扫描获取PC、服务器的IP地址，并植入黑客软件，获取被控主机（即“傀儡机”）的用户名、密码等。然后通过控制多台“傀儡机”，对《劲舞团》服务器IP发送大量的“icmp”或“syn”数据包，造成《劲舞团》服务器网络宽带被大量占用，堵塞网络宽带，最终导致被攻击的服务器网络中断、玩家掉线的结果。故行为人实际上是实施了两个犯罪行为：对“傀儡机”的“控制”和对目标计算机的“破坏”。其行为可能涉及非法控制计算机信息系统罪（《刑法》第二百八十五条）和破坏计算机信息系统罪（《刑法》第二百八十六条）。
1．控制“傀儡机”行为的认定——非法控制计算机信息系统罪与破坏计算机信息系统罪的甄别
根据我国《刑法》及《最高人民法院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定本案判决时该司法解释尚未出台，故对于行为人向某控制55台“傀儡机”的行为是否达到 “情节严重”的标准成立“非法控制计算机信息系统罪”也曾是本案定性的一大难点。之前最高人民法院、最高人民检察院在《关于办理危害计算机信息系统安全刑事案件具体应用法律若干问题的解释（征求意见稿）》中规定：“非法控制计算机信息系统累计达到五十台以上的，应当认定为刑法第二百八十五条第二款规定的‘情节严重’。”故该案在审理中参考了该征求意见稿的相关思路和总体精神。2011年9月1日该司法解释正式颁布并施行，对“情节严重”的认定标准由“控制五十台”下降到了“控制二十台”，可见国家对危害计算机信息系统安全的网络犯罪又加大了打击力度。，非法控制计算机信息系统达到20台以上的，构成非法控制计算机信息系统罪。同时相关司法解释还规定，对20台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的构成破坏计算机系统罪。本案当中，向某向55台“傀儡机”植入木马软件，获取用户名和密码，并取得对该55台计算机的远程控制权限，进而利用该55台电脑对目标服务器发送大量的数据包，造成目标服务器的网络带宽堵塞。如果严格参照相关司法解释的字面意思，向“傀儡机”植入木马的过程中，势必会对该“傀儡机”中所储存、处理的数据进行删除、修改等操作，也能够构成该司法解释中所规定的破坏计算机信息系统罪。但是从立法的本意出发，区分破坏和控制行为的关键，从犯罪的主观方面而言，破坏计算机信息系统罪是以对目标计算机系统的功能或者其中的数据进行破坏，以达成侵犯他人利益或获取不法利益的目的；而控制计算机信息系统罪中，被控制的计算机系统对于犯罪行为人并没有直接的价值，其非但不会对“傀儡机”本身进行破坏，其主观上更加希望“傀儡机”能够正常运行，成为破坏目标计算机信息系统后行为的有效工具。从犯罪客观方面而言，受控制的“傀儡机”在断开网络连接的状态下与未受控计算机并无显著差别；而被破坏的计算机要么在使用功能上，要么在用户数据的完整性上受到了实质性的破坏。因此在本案当中，向某向55台“傀儡机”植入木马的行为应当认定为非法控制计算机信息系统罪。
2．攻击游戏服务器行为的认定——网络安全犯罪的取证“短板”
本案当中，行为人向某对目标服务器的攻击行为客观上达到了破坏其系统功能，造成服务器瘫痪，经济受损的后果，在犯罪形态上符合破坏计算机信息系统罪的表现。但是根据刑法规定，该罪属于结果犯，需达到后果严重的程度，即造成10台以上计算机信息系统的主要软件或者硬件不能正常运行的；或者违法所得5 000元以上或者造成经济损失1万元以上等情形才能予以认定。根据案件侦查情况以及限于技术手段，虽然已经查明，向某控制的“傀儡机”发动攻击总共731小时，游戏服务器瘫痪379小时，但是如何确定两者之间具有有效的因果联系是存在技术障碍的。
网络上被植入木马的“傀儡机”在黑客眼中，基本属于“公共资源”，甚至可以资源共享，也由此在网络上形成了一个庞大的黑客利益链条。但黑客行为发生以后，其实际损失往往难以量化，尤其是在黑客们逐鹿的重要阵地——网络游戏中，这与网络游戏的经营模式、盈利构成等密切相关，而法律只能就最为浅显简单、明显的损失进行估量。本案中，“傀儡机”收到的攻击指令不一定全部来自行为人向某，而导致游戏服务器崩溃的海量数据包也不一定来自向某所控制的“傀儡机”电脑系统。从证据的准确性和客观性角度出发，被侵服务器中的信息数据较被告人个人电脑、网络硬盘等介质中的数据更有说服力。但对被侵服务器的取证仍然是一项艰巨的任务。
如果采用物理手段，虽然侦查机关可以对被侵服务器硬盘进行一一取证和分析，但因为具体案件中，服务器往往数量巨大，且可能分散在全国，乃至世界各地，要逐一取证，所花费的人力、物力是难以估量的，将造成对司法资源的极大占用，而且服务器的所有权人或者其他租用人也未必同意；如果通过网络手段进行调查取证，则势必要取得进入服务器的权限，对被侵服务器进行远程登录取证，该侦查手段从外表上看又与黑客技术无异，有非法证据之嫌。而且通过网络取证，服务器的数据仍然在即时进行更新，因此所取得的证据也难以再经过质证或者第三方机构验证，在证据证明力方面存在着瑕疵；这些服务器中的商业秘密、个人隐私也无法获得有效保护，即使获取也不适合在司法程序中公开。再者，对被侵服务器中的相关信息数据也存在被其他数据覆盖的可能，很难保证证据的原始性和准确性。
囿于目前有限的侦查技术手段以及网络取证障碍，向某的攻击服务器行为虽然客观上已经显现出较大的社会危害性，但是出于“禁止推定”的刑法原则，仍然不宜定其破坏计算机信息系统罪。
3．反思——关于对网络黑客犯罪惩罚与教育相结合的原则
互联网的分散性、交互性以及信息数据资源的开放性，决定了虚拟网络世界中很难有监管机构对网络的一举一动进行监控。黑客往往追求超脱于规则之外的自由和刺激，以此来炫耀和证明自己的存在感，因此总能够在监管的缝隙当中找到施展的空间。对于黑客的立法，在起到一定的震慑作用的同时，也在某种程度上激发起某些黑客的挑战欲。因此，对于网络安全的防范和保护，法律是虚弱的。同时也应当注意到，目前网络黑客低龄化趋势非常明显，本案被告人以及若干年以前赫赫有名的“熊猫烧香”病毒制造者均未受过高等教育，他们在现实生活中缺少其他谋生技能，也往往处于边缘化的地位，因此在目前有限的侦查技术手段以及网络取证的种种障碍面前，注重惩罚和教育相结合的原则对于网络安全犯罪的预防和打击显得尤为重要。
从动机而言，网络黑客分为两种：一种是利用黑客技术谋取非法利益，或者是作为实现其他犯罪的手段，如布置钓鱼网站，骗取他人转账等；另一种是如本案当中犯罪行为人向某，出于某种虚荣心驱使，证明自己的网络技术，或者单纯出于追求新鲜、刺激。从破坏性方面看，网络黑客可以分为有明确组织分工的产业链型的黑客组织和单枪匹马的独行侠。因此在追究法律责任时，应当对黑客行为从动机、行为上予以甄别，着重于斩断黑客行为背后的利益链条，着重于铲除有组织的团伙行为，着重于打击企业网络之间的恶性竞争；而对于个别行为，尤其是涉世未深的少年、青年，应当以教育为主，惩戒为辅。同时，网络服务的提供者，也有一定的社会义务，去自觉纠正网络中的错误风潮，营造和谐文明的网络环境。
本案中，被告人向某所攻击的游戏服务器，其并非对该游戏运营商有利益上的索求，只是在游戏中被错误的价值观所误导，而游戏运营商也有并没有及时予以纠正，所以向某的攻击行为从某种意义上来说仅仅是将这种错误价值观又进行了多次放大而已。
（上海市徐汇区人民法院　陆佳）